渗透测试之痕迹清理

admin 2022年11月26日21:49:38评论77 views字数 1293阅读4分18秒阅读模式

痕迹清理,是我们“肾透”测试后期最重要的环节。是躲避反追踪和隐藏攻击的重要环境。通过本文一起来学习吧。

清理Windows系统痕迹

在windows系统中,主要的日志分为以下三类:系统日志(SysEvent)、应用程序日志(AppEvent)、安全日志(SecEvent)。我们可以通过win+r + eventvwr.msc 打开事件查看器。查看相应的事件信息。

渗透测试之痕迹清理
系统日志清理

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃及数据 默认位置:C:WindowsSystem32winevtLogsSystem.evtx

应用程序日志

主要记录程序运行方面的事件,默认位置:C:WindowsSystem32winevtLogsApplication.evtx

安全日志

记录系统安全审计事件,包含各种类型登录日志、对象访问日志、进程追踪、特权使用、账号管理、策略变更和系统事件。默认位置:C:WindowsSystem32winevtLogsSecurity.evtx

渗透测试之痕迹清理
日志清理

PowerShell命令

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

msf清理

# 显示日志信息
run event_manager -i
# 清除指定日志
run event_manager -c System
# 清除所有日志
run event_manager -c

Linux系统日志清理

Linux 大多数日志文件就是文本,常见痕迹清理位置:/var/log。如下图,日志比较多。

渗透测试之痕迹清理但是最常用的日志有:

  • user.log 用户信息日志
  • auth.log 用户登录日志
  • btmp 登录失败日志

渗透测试之痕迹清理为了方便,这里我们写了一个清理脚本。

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
echo > /var/log/dpkg.log
echo > /var/log/daemon.log
echo > /root/.bash_history
history -c

清除Web日志

web日志会记录用户对web页面的访问操作,web日志会记录访问时间、访问IP地址、访问资源,以及是否访问成功等信息。这里我们以apache2为例、默认文件位置为var/log/apache2,常用的宝塔的日志文件/www/log

更多精彩文章 欢迎关注我们

原文始发于微信公众号(kali黑客笔记):渗透测试之痕迹清理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日21:49:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试之痕迹清理http://cn-sec.com/archives/1419112.html

发表评论

匿名网友 填写信息